Apesar de já existir há um tempo, o trojan bancário Trickbot constantemente passa por atualizações e evoluções: em sua última leva de novidades maliciosas, a praga virtual agora consegue empregar novas táticas para evitar ser detectada, incluindo desabilitar remotamente o Windows Defender em máquinas equipadas com Windows 10.
Normalmente, o Trickbot é veiculado por meio de campanhas por e-mail, geralmente com arquivos falsos de Excel ou Word anexados. Uma vez abertos, eles direcionam o usuário a uma página falsa do Microsoft Office, urgindo por uma “atualização de segurança” que, na verdade, inicia o download e execução automática do malware. O objetivo principal de quem o usa é roubar credenciais bancárias e outras informações pessoais.
Já era sabido que o Trickbot desabilita e deleta o serviço WinDefend, fecha processos de sistema associados ao Windows Defender, desabilita a proteção em tempo real do mecanismo de defesa e desliga notificações de segurança. Esses cinco passos já são previstos e, apenas com eles, cerca de 250 milhões de contas de e-mail foram comprometidas.
–
Podcast Porta 101: a equipe do Canaltech discute quinzenalmente assuntos relevantes, curiosos, e muitas vezes polêmicos, relacionados ao mundo da tecnologia, internet e inovação. Não deixe de acompanhar.
–
A novidade, porém, são nada menos que doze novos processos que atuam diretamente no sistema. Segundo o pesquisador Vitali Kremez e o Malware Hunter Team, que fizeram a engenharia reversa de uma versão recente do malware, “esses novos métodos utilizam edições nos arquivos de registro de sistema ou o comando ‘Set-MpPreference Powershell’ para ajustar as preferências de funcionamento do Windows Defender”.
Segundo o hacker ativista John Opdenakker, algumas ações podem auxiliar na defesa do usuário contra o Trickbot: a primeira coisa é assegurar que qualquer usuário do Windows 10 na máquina não tenham direitos de administrador por padrão, além de recomendar que seja fechado o acesso à edição de arquivos de registro de sistema. Opdenakker ressalta, porém, que essas soluções são paliativas e, segundo ele, “dependem muito do quão avançada é a versão do Trickbot atacando a máquina”. O hacker ainda indica que o trojan executa comandos de autoelevação de direitos, tentando obter capacidades administrativas assim que é executado.
O uso da ferramenta AppLocker também pode ser de grande ajuda aqui: incluído por padrão no Windows 10, o recurso auxilia no controle de quais aplicações e arquivos um usuário poderá executar. Isso inclui arquivos executáveis, scripts, instaladores do Windows, arquivos DLL, aplicações de pacote e seus instaladores.
A Microsoft emitiu à Forbes um comunicado, assegurando que a versão mais recente do Windows Defender já protege o usuário contra o Trickbot e informando que usuários que tenham feito a devida atualização ou que possuam a atualização automática ativada em suas máquinas não terão problemas.
Trending no Canaltech:
- Astrônomos descobrem novo sistema estelar e um planeta que pode abrigar vida
- Com aporte de US$ 400 mi, Nubank contratará mil profissionais nos próximos meses
- MUITO BARATO | Smart TV LG 50 polegadas 4K por R$ 1994 e frete grátis no Magalu!
- Sociedade Planetária comemora: LightSail 2 já navega com sucesso sem combustível
- Xiaomi deve passar Apple e se tornar 3ª maior fabricante de smartphones do mundo
Fonte: Canaltech
